natali_mis - stock.adobe.com

Data Protection Forum discute como empresas devem se adequar à LGPD

Saiba o que esperar da fiscalização da ANPD, como lidar com incidentes de segurança e o caminho para implementar um programa de conformidade à lei.

No dia 27 de setembro, o Data Protection Forum, organizado pela plataforma TI Inside, reuniu diversos especialistas para debater temas como proteção de dados e privacidade no contexto da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Embora o mercado tenha amadurecido nesses quesitos desde a promulgação da lei, em 2018, as empresas ainda precisam realizar adequações antes que a Autoridade Nacional de Proteção de Dados (ANPD) comece a aplicar as penalidades previstas pela LGPD. Confira as dicas dos especialistas presentes no evento.

No primeiro painel do fórum, os palestrantes Gustavo Artese, titular da Artese Advogados, e Victor Isaac, responsável pela área de privacidade da MRV, explicaram quais são as expectativas em relação à fiscalização da ANPD e as ações que as empresas devem priorizar no atual momento.

Lidando com dados pessoais

De início, Gustavo ressaltou que o objetivo da ANPD é construir um modelo de aplicação de sanções que induza o comportamento adequado conforme a LGPD, recompensando aqueles que cumprem a regulação. "A jurisprudência da ANPD definirá as questões de risco e ajudará as organizações a mensurarem efetivamente o que está em jogo, ao avaliarem os riscos de suas atividades", afirma o especialista.

Em seguida, os palestrantes citaram alguns princípios que devem ser levados em conta ao lidar com dados pessoais. Por exemplo, a finalidade (ter propósitos legítimos e explícitos); a necessidade (utilização apenas de dados estritamente necessários); o livre acesso (acesso ao tratamento e à integralidade dos dados); a qualidade (dados exatos, claros, e atualizados); a transparência (informações precisas aos titulares de dados); a segurança (medidas técnicas e administrativas que protejam os dados pessoais); a prevenção (medidas para evitar danos aos titulares); a não-discriminação (não utilizar dados para fins discriminatórios, ilícitos ou abusivos); a responsabilização e a prestação de contas (demonstração de adoção de medidas de cumprimento das normas).

Para Victor, é recomendável fazer com que os princípios de proteção de dados sejam incorporados e mantenham sua relevância no dia a dia das empresas. "É preciso, também, manter o equilíbrio entre a conformidade com a lei e a funcionalidade e o crescimento do negócio", acrescenta.

Incidentes de segurança

No bloco seguinte do evento, estiveram presentes Gustavo Batistuzzo, gerente técnico no Instituto Brasileiro de Peritos, Fábio Aspis, regional senior data privacy counsel no Rabobank Brasil e Marcelo Guedes, coordenador-geral de tecnologia e pesquisa da ANPD.

Segundo Batistuzzo, um incidente de segurança pode ser classificado como "qualquer tratamento de dados que fuja ao que a empresa esperava", sendo que "tratamento" se refere a qualquer ação que se faça com o dado (acessar, ler, copiar, criptografar ou mover). Logo, um incidente está relacionado à violação na segurança de dados, em decorrência de eventos adversos como o acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração ou vazamento dessas informações.

Frequentemente, a identificação de incidentes de segurança é uma tarefa complexa, pois algumas organizações não contam com sistemas de monitoramento de dados. "Existe um despreparo no que se refere ao tratamento de dados, principalmente daqueles não-pessoais, como os dados financeiros", diz o profissional. "As empresas precisam ser capazes de investigar os incidentes e avaliar se eles devem ser comunicados à ANPD".

Na mesma linha de raciocínio, Marcelo enfatiza: "É importante entender que o tratamento de um incidente ocorre antes do próprio incidente, a partir de um tratamento prévio, ou seja, a implementação de controles que previnam ou mitiguem os riscos de segurança de informação".

Na sequência, Fábio afirmou que, para identificar um incidente, é preciso observar se houve a quebra de algum dos pilares da segurança da informação: confidencialidade (o acesso a informações sensíveis só deve ser feito por pessoas autorizadas), integridade (não há alteração indevida da informação) e disponibilidade (a informação está disponível para usuários autorizados quando necessário).

Quanto à notificação do incidente à ANPD, Fábio critica os critérios subjetivos trazidos pela legislação: "Há diversos pontos pendentes de regulação e explicação. Por exemplo, aspectos como o volume de dados precisam ser especificados". Além disso, o prazo curto de notificação estabelecido pela lei –de dois dias úteis, contados da data do conhecimento do incidente– é alvo de críticas.

Os especialistas também abordaram a necessidade de se adotar boas práticas. Por exemplo, as empresas devem ter equipes multidisciplinares, com os times jurídicos e de segurança se comunicando bem. Outra recomendação são as medidas preventivas simples, como o uso da criptografia e senhas em planilhas com dados de clientes. É válido, ainda, empregar medidas corretivas, que mitiguem os danos de eventuais incidentes, além de sempre prestar contas (ser accountable), documentando as ações da empresa, caso seja necessário comprovar sua boa fé à ANPD. Por fim, é importante ter critérios objetivos para identificar incidentes de segurança, evitando, assim, a sobrenotificação destes.

Como implementar um programa de conformidade à LGPD

Júlio Costa, diretor de serviços da MD2 Consultoria, explicou como as companhias podem adotar boas práticas em seus programas de conformidade à legislação. Segundo o especialista, o primeiro passo é identificar por que sua organização requer governança de dados e quais são os benefícios esperados.

Em seguida, é necessário identificar quem será beneficiado pelo programa, quem será responsável por sua operacionalização e quem patrocinará as iniciativas no âmbito executivo. Deve-se, ainda, determinar qual nível de governança de dados é necessário para atingir determinado objetivo e estabelecer, também, o nível de participação corporativa que será demandado. Além disso, é preciso determinar quais tecnologias serão necessárias e definir quando cada prioridade do programa deve começar a ser trabalhada, bem como as datas previstas para as entregas.

"Um programa de governança de dados tem mais valor do que simplesmente mitigar riscos, ele é mais do que uma adequação a uma legislação. Não se trata de um programa de departamento, mas de um programa contínuo que envolve toda a empresa", ressalta Júlio.

Outro ponto mencionado foi o protagonismo da liderança executiva no programa de governança. "Para resolver um desafio complexo que envolve toda a organização, será necessário, primeiramente, o reconhecimento da importância do tema por parte da liderança executiva da empresa, para, assim, impulsionar e mobilizar os líderes nas camadas estratégicas e, finalmente, alcançar os colaboradores", menciona o especialista.

Saiba mais sobre Auditoria e conformidade